想问下大家对于一个文件是否是病毒是如何判断的？

leehom96

比如说
1.我的杀软报毒肯定是病毒，不考虑隔离或者还原。
2.在线查杀，如果查杀比高于xx%，则视为病毒。
3.在线查杀，如果查杀率较高，误报率较低的杀软报毒，则视为病毒。
4.补充其他情况。

我个人一般如果本地杀软报毒会在线查杀一遍，但是有时候会遇到比较难分析的情况。比如20+/60+的报毒率，大于30%了，但是如卡巴斯基，比特梵德，DrWeb，ESET，GData，Panda之类并未报毒，而报毒的也有挺多大牌杀软，如Avast，Avast，McAfee，Symantec，TrendMicro，且报的几乎都是Malware-gen或者Trojan.这种情况大家如何判断呢？

cardmeal

和楼主一样的办法。

提醒一下，安全软件N合一的在线扫描不报毒，不代表实机运行不报毒。我遇到过，同一个安全软件，在线扫描时显示安全，我的电脑双击上传的文件后，本地程序将文件隔离。这个安全软件线上线下的病毒库应该是基本一致的，应该不会差很多天。

JAYSIR

一般很难确定的都会拖到虚拟机或沙盘里面看看吧除非这货针对虚拟机不发作。。。

Jerry.Lin

我个人看卡巴和ESET，他们俩算是分类做最好的，误报也算低的

2605276004x

卡巴报毒的我就不用，360qvm报毒的沙盘走一趟，其实日常使用几乎无误报

ELOHIM

静态扫描可以鉴定出不萎缩的方法写的样本。
可以鉴定出老实的黑客写的样本。
却不一定可以可鉴定出不老实、比较喜欢新方式写样本的黑黑黑。

mi-guan、诱饵机为此而生。

KK院长

在线查杀我说一下，我见过一个样本只有一个杀毒软件查杀，1+/60+，但它的确是病毒， 所以查杀比高于xx%则视为病毒不正确。杀软的话， 外{过}{滤}挂无毒也报，有毒也报，怎么办？ 灰色的东西，只能用沙盘等鉴别。

月影天心

丢沙盘，跑行为，一目了然，实在不想搞，哈勃之类分析系统帮你搞定

猪头无双

本地的话，我一般这么判断：

出现位置：如果是C盘（我电脑C盘就是系统盘），看出现在哪个文件夹。如果是系统文件夹，那就可以算是病毒了。如果是其它盘。可以丢沙盘。如果是岛国老师的教学文件夹，那就是病毒。如果是电子书文件夹，也有可能是病毒。如果是游戏文件夹，上沙盘。可能是灰色的

PanzerVIIIMaus

判断一个文件是否有问题在某种意义上是个“玄学”（变量多），因文件类型、理想用途、工具（手段）限制、容许的判别时间和人脑启（zhì）发（shāng）等而异
就拿杀毒软件报毒来说（我不会讲很多内容，一个是我知识面实在不够，第二是懒），比如.doc、.png之类的报毒基本上表明是没法用的文件；破解一类的容易报毒，就得结合报毒的类型（信誉、启发、云拉黑等）在有措施的环境跑一遍可能才有定论，实际上那只是两个比较极端的情况，但这些方式也很大程度上利用到了上面说的多种“变量”
就Windows 10的WD来说，有进阶需求但还是不熟悉“如何才能更安全”的用户的可以在组策略设置各种各样的云保护级别（WD：“别跟他走，你会吃亏的”）、打开高级成员和设置更多的实例提交（在WD面前积极“脱光光”）、设置“初恋阻止”和延长“真男人时间”（执行“初恋”前跑更长时间，这是利用WD防止“第零个沉沦者”的关键设置之一）等等，前提是WD和WD背后的人们没毒